Hallo,
Één van de klusjes bij mijn nieuwe werkgever is het inrichten van een firewall m.b.v. Mikrotik RouterOS (zie overige posts)
Dit werkte redelijk. Ondertussen wat andere werkzaamheden gedaan.
In 1e instantie was het zo dat ik alle related en established connections accepteerde, en allerlei rules had toegevoegd om portscanners e.d. op te vangen. Mij leek het logischer om m destructief in te stellen, uitzonderingen bovenin de rules-lijst en dan inkomend verkeer afsluiten met drop everything else. Voorlopig vertrouw ik verkeer van binnen naar buiten wel, ze hebben het hier beneden toch veel te druk ;-)
Onder /ip firewall service port is te zien dat de benodigde ports open staan (PPTP, GRE). Voor zover ik weet moeten deze de drop everything else over-rulen, dit gaat bijvoorbeeld ook op voor SSH. (over port 8765 ipv standaard port 22) Alleen eigenschappen aangepast, verder geen rule toegevoegd.
Maar een vpn connectie wil niet met deze rule ingesteld. Zoals ik het eerst ingesteld had (alles open, uitzonderingen daargelaten) was de load door portscanners e.d. te hoog en bovendien is het niet veilig, mijn inziens. En niet 'logisch'
Weet iemand wat ik over het hoofd zie, welke rule(s) ik moet toevoegen? Het liefst zou ik deze poorten natuurlijk aan ip-adres 'hangen', alleen weet ik niet goed hoe ik dat dan aan moet duiden. Als ik het (alleen) het externe adres van de firewall aangeef, zet ik dat natuurlijk gewoon open voor portscanners. Op de PPTP server heb ik aangegeven dat ze intern deel uit gaan maken van het 192.168.130.0 netwerk binnen de range 192.168.130.110 - 192.168.130.119 Is het mogelijk hier een soort 'if-statement'aan te hangen?
Zoals jullie zien heb ik dus eigenlijk 2 vragen. Als iemand me met de eerste zou kunnen helpen (welke ports forwarden) zou al heel fijn zijn.
Alvast bedankt,
Dane
Één van de klusjes bij mijn nieuwe werkgever is het inrichten van een firewall m.b.v. Mikrotik RouterOS (zie overige posts)
Dit werkte redelijk. Ondertussen wat andere werkzaamheden gedaan.
In 1e instantie was het zo dat ik alle related en established connections accepteerde, en allerlei rules had toegevoegd om portscanners e.d. op te vangen. Mij leek het logischer om m destructief in te stellen, uitzonderingen bovenin de rules-lijst en dan inkomend verkeer afsluiten met drop everything else. Voorlopig vertrouw ik verkeer van binnen naar buiten wel, ze hebben het hier beneden toch veel te druk ;-)
Onder /ip firewall service port is te zien dat de benodigde ports open staan (PPTP, GRE). Voor zover ik weet moeten deze de drop everything else over-rulen, dit gaat bijvoorbeeld ook op voor SSH. (over port 8765 ipv standaard port 22) Alleen eigenschappen aangepast, verder geen rule toegevoegd.
Maar een vpn connectie wil niet met deze rule ingesteld. Zoals ik het eerst ingesteld had (alles open, uitzonderingen daargelaten) was de load door portscanners e.d. te hoog en bovendien is het niet veilig, mijn inziens. En niet 'logisch'
Weet iemand wat ik over het hoofd zie, welke rule(s) ik moet toevoegen? Het liefst zou ik deze poorten natuurlijk aan ip-adres 'hangen', alleen weet ik niet goed hoe ik dat dan aan moet duiden. Als ik het (alleen) het externe adres van de firewall aangeef, zet ik dat natuurlijk gewoon open voor portscanners. Op de PPTP server heb ik aangegeven dat ze intern deel uit gaan maken van het 192.168.130.0 netwerk binnen de range 192.168.130.110 - 192.168.130.119 Is het mogelijk hier een soort 'if-statement'aan te hangen?
Zoals jullie zien heb ik dus eigenlijk 2 vragen. Als iemand me met de eerste zou kunnen helpen (welke ports forwarden) zou al heel fijn zijn.
Alvast bedankt,
Dane
:strip_exif()/u/216514/sgisurf.gif?f=community)
